En un mundo que está en acelerada transformación, la seguridad digital -vista desde el interés público, donde las personas están en el centro- es una obligación del Estado. Veámoslo con dos casos: Pegasus en El Salvador y la búsqueda del Gobierno británico por abrir puertas traseras a servicios de mensajería instantánea, ¡Feliz semana de la privacidad!
En julio de 2021 el mundo discutía el “Proyecto Pegasus”, una investigación en 10 países sobre espionaje selectivo en contra de periodistas, personas defensoras de derechos humanos, activistas y opositoras políticas. A esas personas las espiaron sus Gobiernos con Pegasus, un malware que les fue instalado en sus celulares y que vuelve a ser noticia pues reapareció en El Salvador y en Oriente Medio. Las nuevas infecciones sucedieron entre julio y noviembre de ese año. Es decir, se dio cuando las denuncias y la polémica en torno a Pegasus ya eran públicas.
Los software como Pegasus son “herramientas de control remoto”. La víctima recibe un correo o mensaje de texto, que puede estar personalizado según sus intereses, en donde la invitan a abrir un archivo o enlace que está contaminado. Si cae en la trampa, el dispositivo es infectado y quien controla el software está dentro del aparato (puede escuchar llamadas, tomar fotos, grabar videos, escarbar archivos, enviar correos en su nombre, etcétera).
Pero, hay versiones de Pegasus que no necesitan ni siquiera que la víctima abra un archivo. Basta, por ejemplo, con que la llamada suene para que se instale el software. En estos casos los victimarios aprovechan las vulnerabilidades previamente desconocidas (0days).
La caracterización de las víctimas del espionaje en El Salvador impresiona y merece una rotunda condena. Se sabe que 37 dispositivos pertenecientes a 35 personas fueron infectados: en su mayoría se trata de periodistas de investigación, pero también de organizaciones de la sociedad civil. El mayor número de víctimas está en dos medios digitales independientes que han publicado investigaciones contra el Gobierno: El Faro (23 dispositivos) y El Gato Encerrado (4 dispositivos). También se encontraron infecciones en La Prensa Gráfica (1), Revista Digital Disruptiva (1), El Diario de Hoy (1), El Diario El Mundo (1) y, además, en los equipos de 2 periodistas independientes. Las organizaciones de la sociedad civil afectadas fueron Cristosal (1), Fundación Democracia (2), Transparencia y Justicia (1) y hay otra organización de la sociedad civil que quiere permanecer en el anonimato (1).
Quienes investigaron este caso han dicho que las alertas saltaron cuando decenas de periodistas en ese país reportaron haber recibido un aviso de Apple que les alertaba que sus dispositivos podrían ser blanco de Pegasus, y muchas de ellas resultaron ciertas.
Efectivamente, en noviembre de 2021 Apple envió una alerta a miles de personas que tienen un iPhone en el mundo. Apple les decía que podrían ser blanco del software espía Pegasus porque la compañía NSO Group, su propietaria, había aprovechado una vulnerabilidad (0day) del sistema operativo. Apple anunció también que presentaría una demanda contra esa empresa por su responsabilidad y, para evitar que esto siguiera sucediendo, resaltó que este software tiene respaldo estatal.
El otro ejemplo para hablar de seguridad digital tuvo lugar la semana pasada, cuando se lanzó en Gran Bretaña una campaña anticifrado. La campaña es alarmista y está respaldada por el Ministerio del Interior que busca ambientar un proyecto de ley de seguridad en línea. Con ese proyecto, el Gobierno quiere crear la obligación para las empresas dueñas de servicios como WhatsApp y Signal, de abrir puertas traseras al cifrado punta a punta. El Ministerio del Interior británico acusa al cifrado de esconder el abuso infantil.
La campaña justifica esto para proteger a la población infantil, costó más de 700 mil libras esterlinas y ya fue criticada por la autoridad de protección de datos británica. El Ministerio del Interior no dice que debilitar el cifrado es tornar inseguras las comunicaciones privadas de todas las personas, incluyendo las de los y las niñas. En realidad, la medida serviría para facilitar otros propósitos como la interceptación de comunicaciones por los depredadores infantiles y, de paso, la facilita también para el crimen organizado, espías industriales, gobiernos abusivos o sus funcionarios, etcétera.
Una vez más, afirmo que la vigilancia estatal contribuye a la seguridad y estabilidad, pero su abuso amenaza la intimidad, la libertad de expresión y el derecho de asociación y reunión. Además, tiene efectos inhibidores en la expresión y en general es la contradicción de los valores democráticos. No sobra recordar que si bien las funciones de vigilancia en los países de América Latina cuentan con legislaciones que protegen la intimidad, lo hacen con estándares de la era pre-Internet.
En general desarrollan controles vagos y sustancialmente políticos, no hay datos que permitan evaluar su eficacia y los controles judiciales o independientes (por organismos autónomos) brillan por su ausencia. Ante ese vacío, varias organizaciones acudimos el año pasado a la Comisión Interamericana de Derechos Humanos (CIDH) para que pidiera la moratoria inmediata en la venta y uso de esas tecnologías hasta verificar que cumplen con estándares de derechos humanos.
Los casos de abuso de software como Pegasus, sumados a otros (FinFisher, Galileo, Hombre invisible, Cytrox y otros conocidos y por conocer), van mostrando la urgencia de legislar en este campo. Demandas como la de Apple seguramente generarán la discusión que guiará esos desarrollos. Pero, en ausencia de protecciones legislativas, es importante proteger y defender la ciberseguridad y tecnológicas como el cifrado. Sobre esto último, recomiendo seguir a la Alianza por el cifrado de América Latina y el Caribe (AC-LAC). En Karisma, donde trabajo, hacemos parte de ella.
NOTA 1. Hoy se celebra el día de la protección de datos, enero 28, y desde el sitio de Karisma nos unimos al festejo publicando una guía para la protesta que hicimos con Dejusticia.
NOTA 2. Si usted recibió una alerta de Apple en la que indica que su dispositivo pudo estar comprometido por Pegasus, queremos pedirle que se comunique con Karisma y la Flip. Por favor, escriba a contacto@karisma.org.co.